碼上快樂

相關內容    簡體    繁體

nginx配置https及Android客戶端訪問自簽名證書

本文轉載自   查看原文   2017-04-25 15:06   1636    nginx/ Web/ android/ https/ Android

前一篇隨筆通過keytool生成keystore並為tomcat配置https,這篇隨筆記錄如何給nginx配置https。如果nginx已配置https,則tomcat就不需要再配置https了。
通過以下三步生成自簽名證書
# 生成一個key,你的私鑰,openssl會提示你輸入一個密碼,可以輸入,也可以不輸,
# 輸入的話,以后每次使用這個key的時候都要輸入密碼,安全起見,還是應該有一個密碼保護
> openssl genrsa -des3 -out selfsign.key 4096

# 使用上面生成的key,生成一個certificate signing request (CSR)
# 如果你的key有密碼保護,openssl首先會詢問你的密碼,然后詢問你一系列問題,
# 其中Common Name(CN)是最重要的,它代表你的證書要代表的目標,如果你為網站申請的證書,就要添你的域名。
> openssl req -new -key selfsign.key -out selfsign.csr

# 生成Self Signed證書 selfsign.crt就是我們生成的證書了
> openssl x509 -req -days 365 -in selfsign.csr -signkey selfsign.key -out selfsign.crt

nginx配置https簡單,用nginx中ssl模塊即可添加配置如下:
#https默認端口是443,不是80
listen 443;
#為一個server開啟ssl支持
ssl on;
#為虛擬主機指定pem格式的證書文件
#ssl_certificate D:/keys/selfsign.crt;
#為虛擬主機指定私鑰文件
#ssl_certificate_key D:/keys/selfsign.key;
通過以上即可通過瀏覽器訪問443端口了,這時瀏覽器提示證書無效,繼續訪問即可。
如果使用自己的客戶端訪問則提示證書無效,需要把證書信息添加到客戶端中,同時需要在生成證書的時候添加SAN信息。
生成證書如下:
1、證書生成配置文件san.conf如下:
[req]
distinguished_name = req_distinguished_name
req_extensions = v3_req

[req_distinguished_name]
countryName = Country Name (2 letter code)
countryName_default = CN
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = SiChuan
localityName = Locality Name (eg, city)
localityName_default = ChengDu
organizationName = Organization Name (eg, company)
organizationName_default = xxxxx Ltd
organizationalUnitName = Organizational Unit Name (eg, section)
organizationalUnitName_default = xxxxxxx
commonName = Common Name (e.g. server FQDN or YOUR name)
commonName_default = *.xxxx.com
commonName_max = 64

[v3_req]
basicConstraints = CA:TRUE
subjectAltName = @alt_names

[alt_names]
#根據需要可以添加多個,我在測試時使用內網IP,一直提示hostname not verified ,后來在這里添加了自己的ip就可以了
IP.1 = 192.168.140.11
IP.2 = 192.168.140.12
DNS.1 = www.xxxx.com

生成證書指令:

# 生成 CA 的 RSA 密鑰對
openssl genrsa -des3 -out selfsign.key 4096

# 自簽發 CA 證書
openssl req -new -x509 -days 365 -key selfsign.key -out selfsign.crt -extensions v3_req -config san.cnf

# 查看證書內容
openssl x509 -in selfsign.crt -noout -text

android客戶端訪問https示例使用了okhttp框架,webview訪問https服務。地址:http://code.taobao.org/svn/learningtips/AndroidHttpsTest


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 如何通過手機客戶端Android、Iphone 等訪問要求使用客戶端證書SSL加密的https網站 nginx 自簽名證書 配置 https Nginx 配置 HTTPS自簽名證書 curl+個人證書(又叫客戶端證書)訪問https站點 使用 OpenSSL 為 Nginx 創建自簽名證書 並開啟客戶端身份驗證 Apache 2.4自簽名證書及客戶端SSL認證 Android : 關於HTTPS、TLS/SSL認證以及客戶端證書導入方法 HTTPS 客戶端驗證 服務端證書流程 tomcat 配置客戶端證書認證 CAS客戶端和服務器配置https證書
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM